asa8899 Опубликовано 15 декабря, 2010 · Жалоба Здравствуйте. Есть сеть офиса: Ядро Dlink 3627 L3 (24x1гбит) между собой 10Гбит. 3шт Абоненты Dlink 3528 L2+ (24x100mbit + 4x1гбит) 22шт - Топология звезда. 20 сетевых от серверов и 250-300 абонентов . Нужно разбить на группы сотрудников (несколько отделов бухгалтерии, геодезия и т.д.) в группе от 1 до 30 компов. Та что бы бы они не видели друг друга на уровне ethernet. Далее изолировать каждой группе дать доступ только к определенным серверам. Например 1) "Экономисты" - контроллер домена, почта, И сервер экономистов. 2) Бухгалтеры - кД, почта, сервер 1с. и т.д. 3) Не все серверы должны видеть друг друга (Почтовик не должен пересекаться с терминалом и т.д) 4) Некоторые должны работать со всей сетью (админы и некоторые босы) Нужно сделать безопасно и по возможности просто. Думал сделать Vlan ми, но выходит что некторые серверы на винде должны обрабатывать по 40 вланов. Т.е. будет 40 виртуальных сетевушек и 40 айпишников. 1) усложняет администрирование серверов 2) мне не совсем понятно как будет работать AD с 40 вирт сетвушками и 40айпишинками и другие сервисы (terminal, exchange, ms sql, файловоя помойка и т.д.) Клиентские компы не умеют обрабатывать vlan тегированый трафик. Какие еще базовые вещи по безопасности можно сделать кроме? 1) Запрет DHCP серверов на абоненстких коммутаторах 2) Привязка MAC IP к порту коммутатора Подскажите куда копать . Заранее благодарен П.С, зеленые стрелки - трафик разрешен. Красные запрещен. Если нет стрелок - запрещен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stp Опубликовано 15 декабря, 2010 · Жалоба ACL Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 15 декабря, 2010 · Жалоба зеленые и красные стрелки решаются средствами traffic segmentation на тех же длинках Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
asa8899 Опубликовано 15 декабря, 2010 · Жалоба traffic segmentation к сожалению не подойдет "Участники одной группы не могут быть подключены к разным коммутаторам" т.е. если бухгалтеры подключены в два разных коммутаторы то из них группу создать не выйдет. Или в одном коммутаторе больше одной группы.. Правильно ли я понял? Т.е. нужно много коммутаторов . Не гибко выходит http://www.dlink.ru/up/uploads_media/Traff...egmentation.pdf Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LiuPing Опубликовано 15 декабря, 2010 (изменено) · Жалоба У вас же L3 коммуторы в центре - затерминируйте на них VLAN, сегмент серверов в отдельный VLANили несколько VLAN и на центральных L3 напишите нужные ACL. Изменено 15 декабря, 2010 пользователем LiuPing Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mukca Опубликовано 15 декабря, 2010 (изменено) · Жалоба 4 влана и один L3 свич или роутер + фаервол (ACL) первый влан абоненты второй влан бухгалтерия (с серваком их) третий влан еще ктото (непомню кто но сервак у них тоже есть) четвертый влан всякие серваки (вот та хрень где самый большой овал) все это на L3 свиче (роуторе) роутится и ACL (фаерволом) режится кому куда мона а куда нельзя че тут думать.. Изменено 15 декабря, 2010 пользователем mukca Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...